Un investigador de seguretat ha descobert un total d'11 vulnerabilitats greus en actualitzacions recents de microprogramari per als encaminadors Netgear Nighthawk. Les vulnerabilitats han estat pegats per Netgear. Per exemple, els encaminadors emmagatzemen noms d'usuari i contrasenyes en text pla.
Les vulnerabilitats que va trobar l'investigador Jimi Sebree de l'empresa de seguretat Tenable es troben a Nighthawk R6700v3 AC1750-versió de microprogramari 1.0.4.120 i al Nighthawk RAX43, versió de firmware 1.0.3.96. Les vulnerabilitats varien, però totes són greus a crítiques segons l'investigador i, a més, no totes han estat pegats per Netgear.
La vulnerabilitat més crítica es registra com a CVE-2021-45077 per al RS6700 i CVE-2021-1771 per al RAX43. Els encaminadors emmagatzemen noms d'usuari i contrasenyes per al dispositiu i ofereixen serveis en text pla als encaminadors, també la contrasenya d'administrador està en text sense format al fitxer de configuració principal de l'encaminador, Sebree escriu al seu lloc web.
A més, hi ha el risc que aquests noms d'usuari i contrasenyes siguin interceptats. En el RS6700v3, perquè els encaminadors ús HTTP estàndardi, en lloc de Https, per a tota la comunicació amb la interfície web. També la interfície SOAP, al port 5000, utilitza HTTP per a la comunicació, permetent interceptar les contrasenyes i els noms d'usuari.
Interfície SOAP
A més, l'encaminador és vulnerable a la injecció de comandaments un error d'injecció d'ordres posterior a l'autenticació al programari d'actualització del dispositiu. Activar una comprovació d'actualització a través de la interfície SOAP deixa el dispositiu vulnerable a la presa de control mitjançant valors preconfigurats. També, la consola UART insuficientment protegits, que permet a qualsevol persona amb accés físic al dispositiu mitjançant el port UART connectar-se i realitzar tasques com a usuari root sense autenticació.
A més, l'encaminador utilitza credencials codificades en dur per a determinades configuracions, de manera que un usuari normalment no pot ajustar determinades configuracions de seguretat. Aquests estan xifrats, però segons els investigadors relativament fàcil de trobar amb eines disponibles públicament, que permeten ajustar la configuració per qualsevol persona amb accés a l'encaminador. A més, l'encaminador explota diverses vulnerabilitats conegudes a les biblioteques jQuery i a minidlna.exe, mentre que hi ha versions més recents disponibles.
Netgear Nighthawk R6700
Les vulnerabilitats de l'RS6700 tenen una puntuació CVE de 7.1 en una escala d'1 a 10. Això és greu, però no crític. El motiu principal és que un atacant ha de tenir accés físic al router per tal d'explotar les vulnerabilitats. A més, l'explotació de les vulnerabilitats de la interfície SOAP només és possible si un atacant ja ha iniciat sessió. Les vulnerabilitats del RAX43 tenen una puntuació de 8.8 sobre 10.
El RAX43 també utilitza HTTP per defecte, escriu Sebree, i utilitza les mateixes biblioteques jQuery dolentes i la versió vulnerable de minidlna.exe. A més, el microprogramari RAX43 té una vulnerabilitat causada per dos errors. La primera és una vulnerabilitat d'excés de memòria intermèdia, la segona una vulnerabilitat d'injecció d'ordres. La combinació dels dos permet que algú realitzi tasques remotes com a root, sense autenticació.
Netgear Nighthawk RAX43
Sebree escriu que Tenable ha notificat a Netgear les vulnerabilitats el 30 de setembre. Tot i que Netgear va respondre inicialment a l'informe de les vulnerabilitats a principis d'octubre, va passar molt de temps abans que es fes res al respecte. 29 de desembre, Netgear posar un avís de les vulnerabilitats en línia. També n'hi ha ara actualitzacions de firmware pels dos encaminadors posats en línia. Sebree va decidir el 30 de desembre revelar les vulnerabilitats sota l'aparença d'una divulgació responsable, tot i que Netgear encara no ha impulsat activament les actualitzacions del firmware als usuaris.
El Nighthawk RS6700 és una sèrie d'encaminadors dirigits principalment a l'ús domèstic. Està catalogat com l'encaminador WiFi intel·ligent AC1750 a Pricewatch i està disponible des del 31 de juliol de 2019. Les vulnerabilitats es troben a la tercera versió del router. El RAX43 està disponible des del 30 de desembre de 2020.